使用 ADUC 和 PowerShell 在 Active Directory 中创建新用户帐户

在本文中，我们将了解如何在 Active Directory 域中创建新用户。您可以使用图形 mmc 管理单元（Active Directory 用户和计算机）在域中创建新的用户帐户

dsa.msc

和AD行政中心

dsac.msc

) 或使用 PowerShell 脚本。

如何使用 ADUC 创建新的 Active Directory 用户？

在 Active Directory 中创建新域用户的最简单方法是使用图形 ADUC mmc 控制台。

1. 通过运行以下命令打开 Active Directory 用户和计算机 控制台

   dsa.msc

   命令;

2. 选择要在其中创建新用户帐户的 Active Directory 容器（组织单位）。右键单击它并选择新建 -> 用户；

   

   要在域中创建新用户，您的帐户必须是域管理员或帐户操作员组的成员。或者您可以手动将用户创建权限委派给其他域用户和组。

3. 指定用户的名字、姓氏和全名，设置 userPrincipalName（用户登录名）和 sAMAccountName。点击下一步;

   

4. 然后设置用户密码。

   

   在此表单上，您还可以为 UserAccountControl 属性设置以下选项：
   用户下次登录时必须更改密码；
   用户无法更改密码 - 只有管理员/帐户操作员可以更改/重置用户密码；
   密码永不过期 - 用户密码永不过期（如果未启用此选项，则用户密码过期时间由 Active Directory 域密码策略确定）；
   帐户已禁用 - 域中的用户帐户已被禁用，无法用于登录。

5. 在 ADUC 控制台中找到该用户并打开其属性。您可以在此处设置其他用户属性：电话号码、地址、描述、职位、公司（等），将它们添加到 AD 组并在“属性编辑器”选项卡上设置其他属性。

   

您可以通过复制来创建具有类似设置的新 AD 用户。这种创建新用户的方式适合创建来自同一部门、具有相同权限、地址和描述的另一个用户。

单击该用户并选择复制。复制 AD 用户时，组成员身份、地址（街道除外）、用户帐户控制属性设置、组织设置和许多其他属性将被复制到新用户帐户。

New-ADUser：使用 PowerShell 创建 Active Directory 用户

上面，我们向您展示了如何使用 ADUC 图形管理单元在 Active Directory 域中手动创建用户。如果您不断向域中添加新用户，则使用 PowerShell 自动执行此过程要方便得多。

您可以使用 Active Directory for Windows PowerShell 模块中的 New-ADUser cmdlet 在 AD 中创建用户帐户。

您可以使用以下命令获取 New-ADUser cmdlet 的完整语法：

Get-Command New-ADUser -Syntax

在最简单的情况下，要在 AD 中创建新的用户帐户，只需指定其名称就足够了：

New-ADUser testuser1

如您所见，已在默认的Users容器中创建了一个新的用户帐户。默认情况下该用户被禁用。要使用此帐户，必须启用它 (Enable-ADAccount cmdlet)、设置其密码 (Set-ADAccountPassword cmdlet) 配置其他属性（如果需要）。

要使用密码在域 (OU) 的特定 Active Directory 容器中创建新帐户并立即启用它，请使用以下命令：

New-ADUser -Name "Albert Schmidt" -GivenName "Albert" -Surname "Schmidt" -SamAccountName "a.schmidt" -UserPrincipalName "[email protected]" -Path "OU=Users,OU=Accounts,OU=Berlin,OU=DE,DC=a-d,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true

该命令提示您指定新用户的密码（密码被安全传输）。

注意。用户的密码必须在长度、复杂性等方面符合域密码安全策略，否则 cmdlet 将返回错误：New-ADUser：密码不符合域的长度、复杂性或历史记录要求。您可以使用现成的 PowerShell 脚本为每个用户生成复杂的密码。

您可以使用 Get-ADUser cmdlet 获取有关创建的域用户的信息：

Get-ADUser a.schmidt

使用 PowerShell 从 CSV 批量创建 Active Directory 用户

您可以使用 PowerShell 脚本在 Active Directory 域中批量创建多个用户。考虑一个简单的脚本，用于从 CSV 文件中的列表创建用户帐户。

以 CSV (Excel) 文件格式填写所需的用户属性。例如，我的包含用户的 Excel 文件有 8 列，并具有以下标题格式：

FirstName;LastName;SamAccountName;Phone;Department;JobTitle;Password;OU

将 Excel 文件另存为 CSV 格式，并以逗号作为分隔符。编码必须设置为 UTF-8（这一点很重要！）。

您可以直接从 PowerShell 访问 Excel 单元格中的值。我使用平面 CSV 文件来简化本示例中的脚本代码。

现在您可以导入此 CSV 文件 (create_ad_users.csv) 并在 AD 域中创建新用户。请参阅以下可用于在 Active Directory 中创建用户的 PowerShell 脚本示例。

注意。

• 指定要在其中创建新用户帐户的 OU 的名称，格式为 DistinguishedName (

  "OU=Users,OU=Munich,OU=DE,DC=a-d,DC=com"

  ）。该值必须用双引号括起来（因为字符串包含逗号）；

• 如果 ”; ” 用作 CSV 文件的分隔符，添加

  -delimiter ";"

  作为 Import-Csv 命令的参数；

• 该脚本检查用户是否存在于域中。如果域中已存在此类帐户，则会出现警告并提示您输入唯一的 sAMAccountName。

Import-Module activedirectory
$domain=“@a-d.site”
Import-Csv "C:\ps\create_ad_users.csv" | ForEach-Object {
$userSAM=$_.SamAccountName
if (@(Get-ADUser -Filter "SamAccountName -eq '$($_.SamAccountName)'").Count -ne 0) {
Add-Type -AssemblyName Microsoft.VisualBasic
$userSAM = [Microsoft.VisualBasic.Interaction]::InputBox("User $_.SamAccountName exists", 'Specify a new user SamAccountName', $_.SamAccountName)
}
$upn = $userSAM + $domain
$uname = $_.LastName + " " + $_.FirstName
New-ADUser -Name $uname `
-DisplayName $uname `
-GivenName $_.FirstName `
-Surname $_.LastName `
-OfficePhone $_.Phone `
-Department $_.Department `
-Title $_.JobTitle `
-UserPrincipalName $upn `
-SamAccountName $userSAM `
-Path $_.OU `
-AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -force) -Enabled $true
}

此外，您可以将用户创建信息保存到日志文件（在 PowerShell 脚本中使用日志文件的示例）。

运行脚本后，打开 ADUC 控制台，展开指定的 Active Directory OU，并确保新用户帐户已出现在 AD 中。您可以按如下方式跟踪新用户帐户创建事件： 获取过去 X 小时/天内创建的 Active Directory 使用帐户的列表。

您可以使用 Add-AdGroupMember cmdlet 立即将新用户帐户添加到特定 AD 组。为此，您需要稍微修改脚本，将此行添加到 For-Each 循环中：

Add-AdGroupMember -Identity AllowInternetAccess-Members $userSAM

或者，您可以使用 Set-ADUser cmdlet 将 AD 中的用户照片设置为在 Outlook 和 Lync 中显示：

Set-ADUser $userSAM -Replace @{thumbnailPhoto=([byte[]](Get-Content "C:\ps\l.wolf.jpg" -Encoding byte))}